El 27 de septiembre de 2020, el Hospital Universitario de Düsseldorf, Alemania, sufrió un ataque de ransomware que dejó sus sistemas inoperativos durante días. Una paciente que necesitaba atención de urgencia fue derivada a otro hospital a 30 kilómetros de distancia. Murió durante el traslado.
Es el primer caso documentado de una muerte directamente atribuida a un ciberataque. Y aunque el caso ocurrió en Europa, el mensaje que envió a la industria de la salud en todo el mundo fue inequívoco: el ransomware en hospitales no es un problema de IT. Es un problema de vida o muerte.
En Latinoamérica, los ataques al sector salud crecieron de forma sostenida en los últimos años. Hospitales públicos, clínicas privadas, laboratorios, obras sociales y sistemas de salud nacionales han sido víctimas de ataques que paralizaron operaciones, expusieron datos de pacientes y en algunos casos obligaron a volver al papel y al lápiz durante días o semanas.
Este artículo analiza por qué el sector salud es un objetivo tan atractivo para los grupos de ransomware, qué está pasando en la región y qué pueden hacer las organizaciones de salud para protegerse de manera efectiva.
Por qué los hospitales son el objetivo favorito del ransomware
No es casualidad que el sector salud encabece consistentemente los rankings de industrias más atacadas por ransomware. Hay razones estructurales que lo hacen especialmente vulnerable y especialmente rentable para los atacantes.
La presión del tiempo es insoportable
En un hospital, el tiempo es literalmente una variable de vida o muerte. Cuando los sistemas de un retailer son atacados, la empresa puede operar de forma degradada durante días o semanas mientras resuelve el incidente. Cuando los sistemas de un hospital son atacados, los médicos no pueden acceder a los historiales de los pacientes, los equipos conectados a la red dejan de funcionar, las órdenes de medicación no pueden procesarse y las cirugías programadas deben cancelarse.
Esa presión temporal es exactamente lo que los grupos de ransomware buscan. Saben que un hospital no puede permitirse estar inoperativo durante semanas esperando recuperar sus sistemas desde un backup. Esa urgencia hace que la probabilidad de pago del rescate sea significativamente más alta que en otros sectores.
Los datos de salud son los más valiosos del mercado negro
Un número de tarjeta de crédito robado vale entre uno y tres dólares en el mercado negro. Un registro médico completo puede valer entre diez y mil dólares, dependiendo de su contenido. La diferencia es enorme y tiene una explicación directa: los datos de salud no se pueden cambiar.
Si te roban la tarjeta de crédito, la cancelás y pedís una nueva. Si te roban el historial médico, ese historial existe y es tuyo para siempre. Contiene información sobre enfermedades, medicaciones, intervenciones quirúrgicas, historial de salud mental, y en muchos casos datos de identificación completos. Esa permanencia es lo que hace que los registros médicos sean tan valiosos para el robo de identidad, el fraude de seguros y la extorsión directa a los pacientes.
Los grupos de ransomware modernos lo saben. Por eso muchos ataques al sector salud combinan el cifrado de los sistemas con la exfiltración previa de los registros de pacientes, creando una doble palanca de extorsión: pagar para recuperar los sistemas o ver los datos de los pacientes publicados.
La infraestructura tecnológica es históricamente deficiente
El sector salud invierte enormemente en tecnología médica: equipos de diagnóstico por imágenes, monitores de pacientes, sistemas de laboratorio, equipos quirúrgicos asistidos. Pero históricamente ha subinvertido en la infraestructura de IT que conecta y protege todo eso.
El resultado es un parque tecnológico heterogéneo, frecuentemente desactualizado, con sistemas legacy que llevan décadas en funcionamiento y que no reciben actualizaciones de seguridad porque o bien el fabricante ya no las provee o bien la actualización requiere una validación regulatoria que puede tardar meses. Muchos equipos médicos conectados a la red corren versiones de Windows que Microsoft dejó de soportar hace años.
Esta realidad no es exclusiva de los países en desarrollo. Los hospitales del primer mundo enfrentan el mismo problema. Pero en Latinoamérica se combina con presupuestos de IT más limitados, menor cantidad de personal especializado en ciberseguridad y una cultura de seguridad informática que en muchos casos está recién empezando a desarrollarse.
Los equipos médicos conectados amplían enormemente la superficie de ataque
La digitalización del sector salud trajo consigo una proliferación de dispositivos conectados a la red que no fueron diseñados con la seguridad como prioridad. Monitores de signos vitales, bombas de infusión, equipos de radiología, sistemas de administración de medicamentos, cámaras de seguridad y decenas de otros dispositivos forman parte hoy de la red de un hospital moderno.
Cada uno de esos dispositivos es un potencial punto de entrada para un atacante. Y a diferencia de una computadora que puede actualizarse con un parche de seguridad, muchos de estos dispositivos médicos no pueden parchearse sin un proceso de recertificación del fabricante que puede tardar meses o directamente no tienen actualizaciones disponibles.
El panorama en Latinoamérica: casos reales y tendencias
La región no es ajena a esta realidad. En los últimos años se acumularon casos de alto perfil que ilustran la magnitud del problema.
En Argentina, el ataque al PAMI en 2023 fue uno de los más resonantes. El grupo Rhysida logró exfiltrar y publicar datos de millones de afiliados, incluyendo información médica y datos personales sensibles. El incidente expuso las vulnerabilidades de uno de los sistemas de salud más grandes de la región y generó un debate sobre la necesidad de invertir en ciberseguridad en el sector público de salud.
En Colombia, la red de salud Keralty, que opera bajo la marca Sanitas y atiende a más de seis millones de personas, fue atacada en noviembre de 2022 por el grupo RansomHouse. El ataque afectó los sistemas de agendamiento de citas, la red de urgencias y los registros médicos, obligando a los pacientes a recurrir a procesos manuales durante días. La recuperación completa llevó semanas.
En Chile, el Servicio de Salud del Maule sufrió un ataque en 2022 que comprometió sistemas de atención primaria en varios hospitales de la región. El mismo año, el Hospital Clínico de la Universidad de Chile reportó un incidente de seguridad que afectó parte de su infraestructura digital.
En México, múltiples hospitales del IMSS y del ISSSTE han reportado incidentes de seguridad en los últimos años, aunque la falta de obligatoriedad de reporte de brechas hace que muchos casos no sean de conocimiento público.
El patrón que se repite en todos estos casos es similar: infraestructura desactualizada, falta de segmentación de red, ausencia de herramientas de detección avanzada y backups que o bien no existían o bien habían sido comprometidos por el mismo ataque.
Los grupos de ransomware que apuntan al sector salud
No todos los grupos de ransomware atacan indiscriminadamente. Algunos tienen políticas declaradas de no atacar hospitales o infraestructura crítica de salud. Pero esas políticas no siempre se respetan y muchos grupos no tienen ningún escrúpulo al respecto.
LockBit es uno de los grupos más activos globalmente y ha atacado a múltiples organizaciones de salud en Latinoamérica y el mundo, a pesar de haber declarado en algún momento que los hospitales estaban fuera de su alcance.
Rhysida es un grupo relativamente reciente que tiene al sector salud como uno de sus objetivos principales. El ataque al PAMI en Argentina fue obra de este grupo, y ha atacado a organizaciones de salud en múltiples países de la región.
RansomHouse fue el responsable del ataque a Keralty en Colombia y ha mostrado un patrón de selección de objetivos que incluye frecuentemente al sector salud latinoamericano.
BlackCat/ALPHV es otro de los grupos más sofisticados técnicamente y ha tenido presencia significativa en ataques al sector salud a nivel global, incluyendo el devastador ataque al sistema de salud Change Healthcare en Estados Unidos en 2024, que afectó a millones de pacientes y generó pérdidas estimadas en miles de millones de dólares.
Las consecuencias de un ataque: más allá del costo económico
Cuando se habla del impacto de un ataque de ransomware en el sector salud, el costo del rescate y la recuperación de sistemas es solo una parte de la historia, y no necesariamente la más importante.
El impacto en la atención de pacientes es la consecuencia más inmediata y más grave. Cirugías canceladas, derivaciones de urgencias, imposibilidad de acceder a historiales clínicos, errores de medicación por falta de acceso a información actualizada. En los casos más graves, como el de Düsseldorf, ese impacto tiene consecuencias irreversibles.
La exposición de datos de pacientes genera consecuencias legales, regulatorias y reputacionales que se extienden mucho más allá del incidente inicial. En muchos países de la región, la exposición de datos de salud está regulada por leyes específicas que prevén sanciones para las organizaciones que no protegen adecuadamente esa información.
El costo de recuperación suele ser muy superior al rescate exigido. Reconstruir sistemas, contratar especialistas en respuesta a incidentes, reemplazar hardware comprometido, pagar penalidades regulatorias y cubrir los costos legales puede fácilmente multiplicar por diez el valor inicial del rescate.
El daño reputacional es difícilmente cuantificable pero puede tener efectos duraderos en la confianza de los pacientes, especialmente en el sector privado donde la elección de la institución de salud es una decisión activa.
Cómo proteger una organización de salud: un enfoque por capas
La ciberseguridad en el sector salud tiene particularidades que la hacen más compleja que en otros sectores. Las restricciones operativas son reales: no se puede simplemente apagar un equipo médico para parchearlo, no se puede interrumpir la conectividad de sistemas críticos para hacer mantenimiento y no se puede sacrificar la disponibilidad de los sistemas en nombre de la seguridad cuando esa disponibilidad es literalmente vital.
Pero esas restricciones no eliminan la posibilidad de protegerse. Requieren un enfoque adaptado a la realidad del sector.
Segmentación de red: el control más crítico
La segmentación de red es la práctica de dividir la red del hospital en zonas aisladas entre sí, de modo que un atacante que compromete un segmento no pueda moverse libremente hacia todos los demás.
En un hospital correctamente segmentado, los equipos médicos críticos están en una red separada de las computadoras administrativas, que a su vez están separadas de la red de visitantes y pacientes. Si el ransomware entra por un correo de phishing en una computadora de administración, no puede propagarse automáticamente hacia los sistemas de monitoreo de pacientes.
Esta es probablemente la medida de seguridad con mayor impacto en la reducción del alcance de un ataque exitoso, y es completamente independiente del software médico que se use o de si los equipos pueden parchearse o no.
Detección y respuesta en endpoints
Para los dispositivos que sí pueden protegerse con software de seguridad —computadoras, servidores, estaciones de trabajo clínicas— la detección basada en comportamiento es la capa más efectiva contra el ransomware moderno.
Bitdefender GravityZone tiene una vertical específica para el sector salud que contempla las particularidades de ese entorno: compatibilidad verificada con los principales sistemas de información hospitalaria, impacto mínimo en el rendimiento de los equipos clínicos y capacidad de gestión centralizada que permite a un equipo de IT reducido mantener visibilidad sobre cientos o miles de endpoints.
Su módulo de protección contra ransomware incluye la capacidad de detectar el proceso de cifrado en sus etapas iniciales y revertir automáticamente los cambios realizados antes de que el ataque se extienda. En un entorno hospitalario, esa capacidad de remediación automática puede ser la diferencia entre un incidente contenido en minutos y una crisis que paraliza la operación durante días.
Heimdal Security complementa esa protección desde la capa de red, bloqueando las comunicaciones entre el malware y sus servidores de comando y control antes de que el ataque pueda progresar. Su módulo de gestión de parches automatiza la actualización de los sistemas que sí pueden parchearse, reduciendo la superficie de ataque sin requerir intervención manual del equipo de IT.
Backup inmutable y plan de recuperación
En el sector salud, la pregunta no es si habrá un incidente de seguridad sino cuándo, y cuánto tardará la organización en volver a operar cuando ocurra. La respuesta a esa pregunta la determina en gran medida la calidad del sistema de backup y la existencia de un plan de recuperación probado.
Acronis Cyber Protect es especialmente relevante en este contexto por su combinación de backup con protección activa. Sus copias inmutables en la nube garantizan que siempre exista una versión de los datos que el ransomware no puede alcanzar ni eliminar. La funcionalidad de recuperación granular permite restaurar archivos o sistemas individuales sin necesidad de restaurar todo el entorno, lo que reduce significativamente el tiempo de recuperación.
Tan importante como tener el sistema de backup correcto es probarlo regularmente. Un backup que nunca se probó es un backup del que no se puede confiar cuando más se necesita. Los hospitales que mejor gestionan este riesgo realizan simulacros de recuperación periódicos donde se verifica que los sistemas críticos pueden restaurarse dentro de los tiempos definidos en el plan de continuidad del negocio.
Gestión de identidades y accesos privilegiados
Los ataques que entran a través de credenciales comprometidas son especialmente peligrosos en el sector salud porque los sistemas hospitalarios tienden a tener muchos usuarios con niveles de acceso elevados: médicos que necesitan acceder a múltiples sistemas, administradores de IT que gestionan infraestructura crítica, proveedores externos que se conectan remotamente para mantenimiento.
Implementar autenticación multifactor en todos los accesos remotos y sistemas críticos, gestionar los accesos privilegiados con herramientas específicas y revisar periódicamente qué usuarios tienen acceso a qué sistemas son controles básicos que reducen de forma significativa el riesgo de compromiso por credenciales.
Capacitación del personal clínico y administrativo
El personal de salud tiene una orientación natural hacia la atención de pacientes, no hacia la seguridad informática. Eso es comprensible y correcto. Pero también significa que sin capacitación específica, son especialmente vulnerables al phishing y a otras técnicas de ingeniería social.
La capacitación en seguridad para el sector salud no puede ser la misma que para el sector tecnológico. Debe ser breve, práctica, relevante para el contexto clínico y repetida con frecuencia. Simulaciones de phishing adaptadas al contexto hospitalario, protocolos claros sobre qué hacer cuando se recibe un correo sospechoso y canales de reporte sencillos son más efectivos que largas sesiones de formación teórica que el personal clínico no tiene tiempo de absorber.
El marco regulatorio: lo que la ley exige en la región
La regulación de la seguridad de la información en el sector salud varía significativamente entre países, pero la tendencia regional es hacia una mayor exigencia.
En Argentina, la Ley 25.326 de Protección de Datos Personales establece obligaciones específicas para el manejo de datos sensibles, categoría en la que se incluyen los datos de salud. La autoridad de aplicación, la AAIP, tiene capacidad sancionatoria y ha incrementado su actividad regulatoria en los últimos años.
En Colombia, la Ley 1581 de 2012 y sus decretos reglamentarios establecen un marco de protección de datos que aplica con especial rigor a los datos de salud, clasificados como datos sensibles. La Superintendencia de Industria y Comercio ha sancionado a organizaciones de salud por manejo inadecuado de datos de pacientes.
En Chile, la Ley 19.628 sobre protección de la vida privada está en proceso de actualización con un proyecto de ley que fortalece significativamente los requisitos de seguridad y las sanciones por incumplimiento, con disposiciones específicas para datos de salud.
En México, la NOM-024-SSA3-2012 establece requisitos específicos de seguridad para los sistemas de información de salud, incluyendo medidas de protección para los expedientes clínicos electrónicos.
El incumplimiento de estas normativas en el contexto de un ataque que expone datos de pacientes puede resultar en sanciones económicas significativas que se suman al costo ya elevado del incidente.
Conclusión
El sector salud latinoamericano está en la intersección de dos tendencias que se refuerzan mutuamente: una digitalización acelerada que amplía la superficie de ataque y un crecimiento sostenido de los grupos de ransomware que identificaron al sector como uno de sus objetivos más rentables.
Protegerse en ese contexto no es sencillo. Las restricciones operativas del entorno hospitalario son reales, los presupuestos son limitados y la complejidad de los entornos tecnológicos de salud es genuinamente alta. Pero la alternativa, seguir operando con niveles de protección insuficientes, tiene consecuencias que van mucho más allá de lo económico.
Las organizaciones de salud que están tomando la ciberseguridad en serio no lo hacen porque sea obligatorio o porque alguien se los exija. Lo hacen porque entienden que la continuidad de la atención de sus pacientes depende de que sus sistemas funcionen, y que hoy esa continuidad está más amenazada que nunca.
¿Tu organización de salud quiere evaluar su nivel de exposición y las soluciones más adecuadas para su contexto? En aufieroinformatica.com podés consultar con nuestros especialistas en ciberseguridad.
